백신 다운로드를 위장한 악성코드 URL이 출현했다.
KAIST 사이버보안연구센터 협력사인 빛스캔(대표 문일준)은 지난 주말 인터넷 언론사를 통해 국내 백신 `알약`의 유사 URL을 이용한 악성코드가 배포되는 것을 발견했다고 24일 밝혔다.
알약의 정상 URL은 `alyac.altools.co.kr`이지만 알약을 위장한 악성코드 URL은 `ky.alyacc.com`을 사용했다. 사용자가 언뜻 보아서는 둘을 구별하기 어렵다.
빛스캔으로부터 자료를 받아 분석한 카이스트정보보호대학원에 따르면 이번 유사 알약 위장 악성코드는 오라클과 자바, 플래쉬의 취약성을 이용했다. 이 악성코드는 국내 주요 게임계정을 탈취하는 기능을 한다.
알약 백신으로 위장한 악성코드 발견은 이번이 처음이 아니다. 지난해 11월 알약 분산서비스거부(DDoS)전용 백신으로 위장한 악성코드가 국내 포털사이트 카페 등에서 유포되기도 했다. 앞서 지난해 3·4 DDoS 공격 사고 당시에도 알약 전용 백신으로 위장한 악성코드가 기승을 부린 바 있다.
문대준 빛스캔 사장은 “향후 백신 주소처럼 신뢰할 수 있는 사이트를 유사 URL로 이용한 악성코드가 더욱 기승을 부릴 것”이라며 “2주전에는 언론사 뉴스 URL 유사 악성코드가 출현하는 등 사용자에게 익숙하고 믿을 수 있는 사이트를 흉내낸 악성코드는 지속적으로 증가할 전망이기 때문에 사용자들이 각별히 주의해야한다”고 말했다.
또 문 사장은 “악성코드 유포는 평일엔 잠잠하다가 주말이 되는 금요일 저녁부터 토, 일요일 집중 유포되는 경향이 반복되고 있다”며 “주말 인터넷 이용시 백신을 반드시 활성화시키고 의심스러운 사이트는 방문하지 않는 등 각별히 주의해야 한다”고 덧붙였다.
장윤정기자 linda@etnews.com